4 MFA
Pārskats
Daudzfaktoru autentifikāciju (MFA) var izmantot, lai pierakstītos Zabbix, nodrošinot papildu drošības slāni papildus tikai lietotājvārdam un parolei.
Izmantojot MFA, lietotājam jābūt izveidotam Zabbix, piesakoties jānorāda Zabbix akreditācijas dati, kā arī papildus jāpierāda sava identitāte citā veidā, parasti ar kodu, ko ģenerē autentifikatora lietotne lietotāja tālrunī.
Ir pieejamas vairākas MFA metodes, kas ļauj lietotājiem izvēlēties iespēju, kura vislabāk atbilst viņu drošības prasībām un vēlmēm. Šīs metodes ir Time-Based One-Time Password (TOTP) un Duo Universal Prompt.
Konfigurācija
Konfigurācijas parametri:
| Parametrs | Apraksts |
|---|---|
| Iespējot daudzfaktoru autentifikāciju | Atzīmējiet izvēles rūtiņu, lai iespējotu daudzfaktoru autentifikāciju. |
| Metodes | Noklikšķiniet uz Pievienot, lai konfigurētu MFA metodi (skatiet metodes konfigurāciju zemāk). |
Metodes konfigurācija
Metodes konfigurācijas parametri:
| Parametrs | Apraksts |
|---|---|
| Type | Atlasiet MFA metodes tipu: TOTP — izmantojiet autentifikatora lietotni, lai ģenerētu uz laiku balstītas vienreizējās paroles; Duo Universal Prompt — izmantojiet Duo autentifikācijas pakalpojumu, lai nodrošinātu daudzfaktoru autentifikāciju. |
| Name | Ievadiet nosaukumu, kas autentifikatora lietotnēs visiem MFA lietotājiem tiek parādīts kā konta nosaukums (piemēram, "Zabbix"). |
| Hash function | Atlasiet jaucējfunkciju (SHA-1, SHA-256 vai SHA-512) TOTP kodu ģenerēšanai. Šis parametrs ir pieejams, ja MFA metodes tips ir iestatīts uz "TOTP". Ņemiet vērā, ka SHA-256 vai SHA-512 izvēle var būtiski ierobežot saderību, jo daudzas lietotnes pašlaik šīs funkcijas neatbalsta. |
| Code length | Atlasiet verifikācijas koda garumu (6 vai 8). Šis parametrs ir pieejams, ja MFA metodes tips ir iestatīts uz "TOTP". |
| API hostname | Ievadiet API resursdatora nosaukumu, ko nodrošina Duo autentifikācijas pakalpojums. Šis parametrs ir pieejams, ja MFA metodes tips ir iestatīts uz "Duo Universal Prompt". |
| Client ID | Ievadiet klienta ID, ko nodrošina Duo autentifikācijas pakalpojums. Šis parametrs ir pieejams, ja MFA metodes tips ir iestatīts uz "Duo Universal Prompt". |
| Client secret | Ievadiet klienta slepeno atslēgu, ko nodrošina Duo autentifikācijas pakalpojums. Šis parametrs ir pieejams, ja MFA metodes tips ir iestatīts uz "Duo Universal Prompt". |
Konfigurācijas piemēri
Šajā sadaļā ir sniegti piemēri MFA konfigurēšanai, izmantojot Time-Based One-Time Password (TOTP) un Duo Universal Prompt.
TOTP
TOTP gadījumā lietotājiem ir jāapstiprina sava identitāte, izmantojot autentifikatora lietotni (piemēram, lietotni Google Authenticator).
1. Dodieties uz MFA iestatījumiem Zabbix sadaļā Lietotāji → Autentifikācija un iespējojiet daudzfaktoru autentifikāciju.
2. Pievienojiet jaunu MFA metodi ar šādu konfigurāciju:
- Tips: TOTP
- Nosaukums: Zabbix TOTP
- Jaucējfunkcija: SHA-1
- Koda garums: 6
3. Noklikšķiniet uz pogas Pievienot un pēc tam uz pogas Atjaunināt.
4. Dodieties uz Lietotāji → Lietotāju grupas un izveidojiet jaunu lietotāju grupu ar šādu konfigurāciju:
- Grupas nosaukums: TOTP grupa
- Lietotāji: Admin
- Daudzfaktoru autentifikācija: Noklusējuma (vai "Zabbix TOTP", ja tā nav iestatīta kā noklusējuma)
5. Izrakstieties no Zabbix un piesakieties vēlreiz, izmantojot savus akreditācijas datus. Pēc veiksmīgas pieteikšanās jums tiks piedāvāts reģistrēties MFA, parādot QR kodu un slepeno atslēgu.
6. Noskenējiet QR kodu vai ievadiet slepeno atslēgu lietotnē Google Authenticator. Lietotne ģenerēs verifikācijas kodu, kas jums jāievada, lai pabeigtu pieteikšanās procesu.
7. Turpmākajās pieteikšanās reizēs iegūstiet verifikācijas kodu no lietotnes Google Authenticator un ievadiet to pieteikšanās laikā.
Duo Universal Prompt
Duo Universal Prompt gadījumā lietotājiem ir jāapstiprina sava identitāte, izmantojot autentifikācijas lietotni Duo Mobile.
Duo Universal Prompt MFA metodei ir nepieciešams instalēt php-curl paplašinājumu, piekļuvei Zabbix, izmantojot HTTPS, un atļaujai izejošajiem savienojumiem ar Duo serveriem. Turklāt, ja esat iespējojis Content Security Policy (CSP) tīmekļa serverī, noteikti pievienojiet "duo.com" CSP direktīvai sava virtuālā hosta konfigurācijas failā.
1. Reģistrējiet bezmaksas Duo administratora kontu vietnē Duo Signup.
2. Atveriet Duo administrēšanas paneli, dodieties uz Applications → Protect an Application, meklējiet lietotni Web SDK un noklikšķiniet uz Protect.
3. Pierakstiet akreditācijas datus (Client ID, Client secret, API hostname), kas nepieciešami MFA metodes konfigurēšanai Zabbix.
4. Dodieties uz MFA iestatījumiem Zabbix sadaļā Users → Authentication un iespējojiet daudzfaktoru autentifikāciju.
5. Pievienojiet jaunu MFA metodi ar šādu konfigurāciju:
- Tips: Duo Universal Prompt
- Nosaukums: Zabbix Duo
- API hostname: (izmantojiet API hostname no Duo)
- Client ID: (izmantojiet Client ID no Duo)
- Client secret: (izmantojiet Client secret no Duo)
6. Noklikšķiniet uz pogas Add un pēc tam uz pogas Update.
7. Dodieties uz Users → User groups un izveidojiet jaunu lietotāju grupu ar šādu konfigurāciju:
- Grupas nosaukums: Duo grupa
- Lietotāji: Admin
- Daudzfaktoru autentifikācija: Default (vai "Zabbix Duo", ja tā nav iestatīta kā noklusējuma vērtība)
8. Izrakstieties no Zabbix un piesakieties vēlreiz, izmantojot savus akreditācijas datus. Pēc veiksmīgas pieteikšanās jums tiks piedāvāts reģistrēties MFA un jūs tiksiet novirzīts uz Duo. Pabeidziet Duo iestatīšanu un apstipriniet savu lietotāju, izmantojot Duo lietotni savā tālrunī, lai pieteiktos.
9. Turpmākajās pieteikšanās reizēs izmantojiet atbilstošo MFA metodi, ko nodrošina Duo lietotne (piemēram, verifikācijas koda iegūšanu, atbildēšanu uz pašpiegādes paziņojumiem vai aparatūras atslēgu izmantošanu), un pieteikšanās laikā ievadiet nepieciešamo informāciju.